From e10256fe93208ef786d2e38a68a98e2548d501ee Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Mon, 31 Aug 2020 10:22:11 +0200 Subject: fix SSRF bug in SAML1 parameter validator --- id/server/doc/handbook/config/config.html | 7 +++++++ 1 file changed, 7 insertions(+) (limited to 'id/server/doc') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 9a90d1c49..62bde84bc 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -431,6 +431,13 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa

Hiermit kann die SSL Hostname validation für das abholen von PVP Metadaten deaktiviert werden.

Hinweis: Workaround, da der httpClient der openSAML2 Implementierung kein SNI (Server Name Indication) unterstützt.

+ + configuration.validate.saml1.parameter.strict + true / false +

Aktiviert oder deaktiviert die strikte Validierung von SecurityLayer Template URLs welche via HTTP Parameter "template" (siehe SAML1 Protokoll) angegeben werden können. Wenn dieser Parameter aktiviert (true) sind ausschließlich Tempalte URLs erlaubt die entweder in Allgemeinen Konfiguration oder in der jeweiligen SP Konfiguration konfiguriert sind. Ist die strikte Validierung deaktiviert (false) sind zusätzlich alle Template URLs erlaubut welche vom selben Host liegen wie die MOA-ID Instanz.

+

 

+

Defaultwert: false

+ configuration.validate.authblock.targetfriendlyname true / false -- cgit v1.2.3